Informazioni sul contenuto di sicurezza di Safari 3.1.1
Riepilogo
Questo documento descrive il contenuto di sicurezza di Safari 3.1.1, che può essere scaricato e installato tramite le preferenze Aggiornamento software o da Apple Downloads.
Per proteggere i propri clienti, Apple non divulga, discute o conferma alcun problema relativo alla sicurezza finché non è stata eseguita un'indagine approfondita e non sono disponibili le necessarie correzioni o aggiornamenti della versione. Per ulteriori informazioni sulla sicurezza dei prodotti Apple, accedere al sito web Apple Product Security (Aggiornamenti di sicurezza Apple).
Per informazioni sulla chiave PGP per la sicurezza dei prodotti Apple, vedere "How to use the Apple Product Security PGP Key" (Come utilizzare la chiave PGP per la sicurezza dei prodotti Apple).
Ove possibile, vengono usati gli ID CVE per ulteriori informazioni relative alle vulnerabilità.
Per conoscere gli altri aggiornamenti relativi alla sicurezza, vedere "Apple Security Updates" (Aggiornamenti di sicurezza Apple).
Prodotti interessati
Sicurezza dei prodotti, Safari 3.1, Safari 3 (Windows)
Safari 3.1.1
CVE-ID: CVE-2007-2398
Disponibile per: Windows XP o Vista
Impatto: Un sito web creato per scopi illeciti potrebbe controllare il contenuto della barra degli indirizzi
Descrizione: Un problema di temporizzazione in Safari 3.1 permette a una pagina web di cambiare il contenuto della barra degli indirizzi senza caricare il contenuto della pagina corrispondente. Questo potrebbe essere utilizzato per falsificare il contenuto di un sito legittimo, consentendo l'acquisizione delle credenziali dell'utente o di altre informazioni. Questo problema era stato risolto nella versione Beta 3.0.2 di Safari, ma si è ripresentato in Safari 3.1. Questo aggiornamento risolve il problema ripristinando il contenuto della barra degli indirizzi se viene terminatata la richiesta di una nuova pagina web. Il problema non interessa i sistemi Mac OS X.
CVE-ID: CVE-2008-1024
Disponibile per: Windows XP o Vista
Impatto: Visitando un sito creato per scopi illeciti si potrebbe incorrere nella chiusura imprevista dell'applicazione o in un'esecuzione arbitraria di codice
Descrizione: Esiste un problema di danneggiamento della memoria nel dowload di archivi eseguito con Safari. Invitando l'utente a scaricare un archivio con un nome artefatto per scopi illeciti, un aggressore potrebbe causare la chiusura imprevista dell'applicazione o un'esecuzione arbitraria di codice. Questo aggiornamento risolve il problema migliorando la gestione dei download di archivi. Il problema non interessa i sistemi Mac OS X.
CVE-ID: CVE-2008-1025
Disponibile per: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.2, Mac OS X Server v10.5.2, Windows XP o Vista
Impatto: Visitando un sito creato per scopi illeciti potrebbe avvenire uno scripting attraverso i siti
Descrizione: Esiste un problema nella gestione da parte di WebKit degli URL contenenti un carattere due punti nel nome dell'host. Aprendo un URL creato per scopi illeciti potrebbe avvenire un attacco tramite scripting attraverso i siti. Questo aggiornamento risolve il problema grazie a una migliore gestione degli URL. Si ringraziano Robert Swiecki del Google Information Security Team e David Bloom per aver segnalato questo problema.
CVE-ID: CVE-2008-1026
Disponibile per: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.2, Mac OS X Server v10.5.2, Windows XP o Vista
Impatto: Visitando un pagina creata per scopi illeciti si potrebbe incorrere nella chiusura imprevista dell'applicazione o in un'esecuzione arbitraria di codice
Descrizione: Esiste un buffer overflow dello heap nella gestione delle espressioni regolari JavaScript da parte di WebKit. Il problema può essere attivato tramite JavaScript quando si elaborano espressioni regolari con un elevato numero di ripetizioni nidificate. Questo potrebbe causare la chiusura imprevista dell'applicazione o un'esecuzione arbitraria di codice. L'aggiornamento risolve il problema grazie all'esecuzione di ulteriori convalide delle espressioni regolari JavaScript. Si ringrazia Charlie Miller per aver segnalato questi problemi.
Important: Information about products not manufactured by Apple is provided for information purposes only and does not constitute Apple’s recommendation or endorsement. Please contact the vendor for additional information.